Aufbewahrungsfristen & Löschfristen nach DSGVO: Das müssen Unternehmen beachten

Letztes Update:
01
.
07
.
2025
Lesezeit:
0
Min
Welche Aufbewahrungsfristen gelten in Unternehmen für personenbezogene Daten und wann müssen sie gelöscht werden? Den Überblick über verschiedene Anforderungen aus DSGVO, HGB und Co. zu behalten, ist gerade für Unternehmen mit komplexen Datenstrukturen eine Herausforderung. Erfahren Sie, wie Sie gesetzliche Fristen und DSGVO-Vorschriften in Einklang bringen und strategisch managen.
Aufbewahrungsfristen & Löschfristen nach DSGVO: Das müssen Unternehmen beachten
Die wichtigsten Erkenntnisse
  • Personenbezogene Daten dürfen nur gespeichert werden, solange eine rechtliche Grundlage besteht.
  • Gesetzliche Aufbewahrungsfristen aus der AO oder dem HGB stellen einen berechtigten Speicherzweck dar und verschieben den Zeitpunkt der Löschung personenbezogener Daten.
  • Unternehmen müssen sicherstellen, dass ihre Lösch- und Archivierungspraxis nachvollziehbar und DSGVO-konform ist.
  • Nach Ablauf der Aufbewahrungsfrist sind Daten DSGVO-konform zu löschen oder physisch zu vernichten.
  • Ein strukturiertes, systemgestütztes Löschkonzept schafft Transparenz.

Warum Aufbewahrungs- und Löschfristen oft missverstanden werden

Immer mehr Unternehmen setzen auf datengetriebene Geschäftsmodelle und müssen dafür eine Vielzahl personenbezogener Daten verarbeiten. Doch bei der Verarbeitung und Speicherung gelten strenge Spielregeln. Denn nicht nur die Menge an Daten nimmt zu, sondern auch die Zahl der Cyberangriffe. So ist etwa eine rechtliche Grundlage erforderlich, die überhaupt rechtfertigt, dass Daten gespeichert werden. Entfällt diese Grundlage, greift das Löschgebot der Datenschutzgrundverordnung (DSGVO): Die betreffenden Daten müssen gelöscht werden.

Ganz so einfach ist es allerdings nicht, denn in der Praxis stehen diesem Grundsatz einige gesetzliche Aufbewahrungsfristen für Unternehmen entgegen, die sich unter anderem aus der Abgabenordnung (AO) oder dem Handelsgesetzbuch (HGB) ergeben. Diese setzen der Löschpflicht zeitliche Grenzen und schaffen neue Anforderungen an die Datenhaltung.  

Verantwortliche, die hier keine klaren Regeln definieren und umsetzen, riskieren Bußgelder und Reputationsverluste für ihre Organisation.

Welche Aufbewahrungsfristen für Daten in Unternehmen gelten laut DSGVO?

In der Praxis stellt sich häufig die Frage, wie lange personenbezogene Daten aufbewahrt werden dürfen, um damit etwa Geschäfte oder interne Vorgänge nachweisen zu können. Grundsätzlich erlaubt die DSGVO die Verarbeitung nur unter den in Art. 5 Abs. 1 lit. b DSGVO benannten Bedingungen: So dürfen Daten nur für eindeutige Zwecke verarbeitet werden und nur, solange diese Zwecke bestehen. Die DSGVO-Speicherfrist endet mit Wegfall der Rechtsgrundlage.

Gleichzeitig müssen Organisationen sich an gesetzliche Aufbewahrungsfristen halten, wenn es etwa um Personalakten, Steuerunterlagen oder Geschäftsberichte geht. Diese Fristen schaffen eine neue, eigenständige Zweckbindung. Die Aufbewahrungsfristen treten also an die Stelle der DSGVO-Zweckbindung: Solange eine gesetzliche Aufbewahrungspflicht besteht, ist die Speicherung personenbezogener Daten weiterhin zulässig, auch wenn der eigentliche Verarbeitungszweck bereits erfüllt ist. Sind jedoch auch diese Fristen abgelaufen, müssen die Daten endgültig gelöscht oder datenschutzkonform vernichtet werden.

Welche Rechtsgrundlagen bestimmen neben der DSGVO die Aufbewahrungsdauer von Unterlagen und Daten?

Die gesetzlichen Aufbewahrungsfristen ergeben sich aus verschiedenen Vorschriften wie  

  • der AO,  
  • dem HGB,  
  • dem Einkommensteuergesetz (EStG) oder
  • dem Telemediengesetz (TMG).  

Diese Rechtsgrundlagen gelten unabhängig davon, ob Daten in Papierform oder digital gespeichert sind.

Achtung, Stolperfalle: Nach Art. 13 und Art. 14 DSGVO müssen Unternehmen in der Datenschutzerklärung auf ihrer Website auf die geltenden Aufbewahrungsfristen für Nutzerdaten hinweisen. Wer diese Informationspflicht missachtet, riskiert ebenfalls Bußgelder.

Welche Rolle spielen die GoBD?

Im Zusammenhang mit steuerlich relevanten Unterlagen gelten zusätzlich die Vorgaben der GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff). Allerdings betreffen diese Vorgaben keine Fristen, sondern sie regeln lediglich, wie Daten aufzubewahren sind, während eine Aufbewahrungspflicht besteht.

Aktuelle Aufbewahrungsfristen für Dokumente im Überblick (Stand 2025)

Eine einheitliche Regelung für Aufbewahrungsfristen in Unternehmen gibt es nicht. Denn je nach Dokument und Vorschrift gilt eine andere Aufbewahrungsdauer. Die IHK stellt regelmäßig aktualisierte Übersichten zur Verfügung. Verantwortliche können darüber hinaus ihre Steuerberatung um eine individuelle Einschätzung bitten.

Im Folgenden fassen wir einige Aufbewahrungsfristen für typische Unternehmensdokumente zusammen, die in der Regel personenbezogene Daten enthalten.  

| Aufbewahrungsfrist | Dokumentart | | :--- | :--- | | **5 Jahre** | Arbeitsunfähigkeitsbescheinigung | | **6 Jahre** | Abtretungserklärungen, Schriftwechsel, Preislisten, Lieferscheine, Kassenzettel (soweit keine Buchungsbelege) | | **10 Jahre** | Erhöhtes Vertrauensniveau, Handelsbücher, Geschäftsberichte, Abrechnungsbelege, Ausgangsrechnungen, Buchungsbelege, Jahresabschluss mit Erläuterungen, Angestelltenversicherung, Bankbelege, Betriebskostenrechnungen, Bewirtungsunterlagen, Dauerauftragsunterlagen (nach Ablauf des Auftrags), Exportunterlagen, Fahrtkostenerstattungsunterlagen, Kassenberichte, Kontoauszüge, Mietunterlagen, Lohnbelege, Prozessakten, Quittungen, Zahlungsanweisungen, Zwischenbilanz |

Die konkreten Anforderungen an die Aufbewahrungsform ergeben sich aus den jeweils einschlägigen Gesetzen. Für die Dauer der Aufbewahrung gilt jedoch: Dokumente müssen unabhängig von ihrer Aufbewahrungsform jederzeit lesbar, vollständig und zugänglich sein.  

Daten löschen oder aufbewahren: Was passiert nach Fristablauf?

Nach Ablauf der gesetzlichen Aufbewahrungsfrist endet auch die rechtliche Grundlage für die Speicherung der betroffenen Daten. Diese müssen nun gelöscht oder datenschutzkonform vernichtet werden. Dabei spielt es keine Rolle, ob die Daten analog oder digital vorliegen und wie die Daten vernichtet werden. Entscheidend ist, dass sie vollständig, nachvollziehbar und sicher entfernt werden.

Elektronische Daten können zum Beispiel überschrieben und Papiere geschreddert werden. Allerdings verlangt die DSGVO, dass gerade personenbezogene oder sensible Daten so gut vernichtet werden müssen, dass keine andere Person sie noch lesen kann. Eine Orientierung hinsichtlich der datenschutzgerechten Datenträgervernichtung bietet die DIN 66399.

Die Maßnahmen und der Zeitpunkt der Löschung sollten dokumentiert werden. Um sicherzugehen, dass Sie den Prozess der Vernichtung datenschutzkonform und zum richtigen Zeitpunkt durchführen und ihn sauber dokumentieren, hilft ein strukturiertes Löschkonzept, die Übersicht zu behalten.

In unserem Blog erfahren Sie mehr über das Löschkonzept und was darin nicht fehlen darf.

Was ist bei Datenvernichtung durch Dienstleister zu beachten?

Bei der Datenvernichtung können Unternehmen auf externe Dienstleister zurückgreifen. Allerdings müssen sie dafür einen schriftlichen Auftragsverarbeitungsvertrag (AV-Vertrag) abschließen, da es sich in diesem Fall um eine Auftragsverarbeitung im Sinne des Art. 28 DSGVO handelt.  

Fazit: Aufbewahrungs- und Löschfristen richtig managen

Die DSGVO verpflichtet Unternehmen, personenbezogene Daten nur so lange zu speichern, wie ein klar definierter Zweck besteht. Sobald dieser entfällt, beginnt die Löschfrist – es sei denn, gesetzliche Aufbewahrungsfristen stehen dem entgegen. Gerade für datenintensive Unternehmen wird das Managen von Fristen, das Dokumentieren von korrekten Speicherfristen und die Umsetzung von Löschprozesse schnell zu einer Herausforderung.

Ein strukturiertes Löschkonzept sorgt für Klarheit und Rechtskonformität. Vor allem, wenn externe Datenschutzbeauftragte bei der Erarbeitung eines solchen Konzepts unterstützen. Mit ihrer Erfahrung und dem Wissen über verschiedene Dokumenten- und Datenarten übersetzen sie die Anforderungen der DSGVO mühelos in die Praxis von Unternehmen. Dadurch ist jederzeit klar,  

  • welche Datenschutz-Aufbewahrungsfristen gelten und  
  • welche Prozesse für die Einhaltung von gesetzlichen Aufbewahrungs- und Löschpflichten notwendig sind.  

Noch effizienter gelingt die Aufbewahrung von Daten mit Softwarelösungen, die DSGVO-Aufbewahrungsfristen automatisch berücksichtigen und Fristen überwachen.  

Häufige Fragen und Antworten zu Aufbewahrungsfristen

Was sind Aufbewahrungsfristen laut DSGVO?

Die DSGVO selbst definiert keine konkreten Fristen. Allerdings stellt sie mit dem Prinzip der Speicherbegrenzung sicher, dass Daten nur so lange aufbewahrt werden, wie sie für den jeweiligen Zweck erforderlich sind. Gesetzliche Aufbewahrungspflichten aus dem Steuer- oder Handelsrecht gelten jedoch als berechtigter Grund für eine längere Speicherung. In diesen Fällen verschiebt sich die Löschfrist entsprechend.

Wie sollten Dokumente aufbewahrt werden?

Unabhängig davon, ob analog oder digital: Geschäftsunterlagen müssen jederzeit abrufbar, lesbar, vollständig, unveränderbar und nachvollziehbar sein. Die Anforderungen an eine revisionssichere Archivierung ergeben sich insbesondere aus der GoBD. Eine bloße Ablage ohne Zugriffskontrolle oder Nachvollziehbarkeit reicht nicht aus.

Was passiert, wenn die Aufbewahrungsfrist abgelaufen ist?

Sobald die Frist endet, entfällt auch der legitime Speicherzweck. Damit beginnt die Löschfrist gemäß DSGVO, und die Daten müssen gelöscht oder im Fall physischer Unterlagen datenschutzkonform vernichtet werden, sodass keine andere Person sie mehr lesen kann. Für personenbezogene Daten gelten hierbei die Anforderungen der DSGVO. Wird ein externer Dienstleister mit der Vernichtung beauftragt, muss ein schriftlicher Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen werden. Ein professionelles Löschkonzept hilft Unternehmen, Fristen zuverlässig einzuhalten und Risiken zu vermeiden.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Jetzt beraten lassen
Themen
Redaktion
Sabrina Schaub
Freie Redakteurin
Mit ihrer Content-Erfahrung unterstützt Sabrina das Team von datenschutzexperte.de dabei, komplexe Themen verständlich zu kommunizieren. Als freie Autorin kennt sie die Datenschutzbedürfnisse unterschiedlicher Branchen und übersetzt selbst anspruchsvolle Informationen in zielgruppengerechte Inhalte.
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!